標籤: News

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心， CNN報導稱Twitter內部高層中警告說，如果還有其他數據中心斷網，可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣，Twitter 依賴數據中心，這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本，一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如，Google於 2011 年在芬蘭開設了一個數據中心，Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始：Sacramento市中心達到 113華氏(攝氏45度)，隨後達到116 度(46. 7 攝氏度)，上週二成為該市有記錄以來最熱的一天。

“9 月 5 日，由於極端天氣，Twitter 失去了Sacramento 數據中心區域。史無前例​​的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告，由於Sacramento的離線，Twitter 處於非冗餘狀態(non-redundant)。她進一步說，Twitter在亞特蘭大和波特蘭的數據中心仍在運行，但警告說”如果我們失去其中一個數據中心，我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新，直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道：”所有production的變更，包括行動平台的部署和發布，都需暫停，只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導，Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱，Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險，甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示，目前沒有任何干擾影響人們存取和使用 Twitter。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體，已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫，從技術角度來看，Agenda 提供了多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案，並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示，觀察到的樣本都是客制化的，每個受害者要求的贖金金額也不同，介於 50,000 美元到 800,000 美元之間。

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外，還具有感染整個網路及其共享驅動程序的功能。在一個案例中，作為一次攻擊的一部分，攻擊者利用面向公眾的 Citrix 伺服器作為切入點，在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案，如果登錄嘗試成功，則進一步加密其他機器。它還終止大量進程和服務，並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil（又名 Sodinokibi）之間的相似之處，具體來說，Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter，而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理器供應商LastPass周四(8/25)表示，駭客入侵了其開發人員的一個帳號，利用該帳號存取了專有技術資訊與部分原始程式碼，然而LastPass稱其用戶的密碼仍然安全，表示沒有證據表明客戶數據或加密的密碼庫遭到破壞，稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前，資安公告已通過電郵發送給其客戶。

LastPass表示為應對這一事件，已部署了遏制和緩解措施，並正在實施額外的增強安全措施，另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態，沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊，例如駭客如何入侵開發人員的用戶帳號， 以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一，聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼，因此有人擔心該公司被駭客入侵，可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱，事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords)，LastPass將密碼存儲在加密保險庫中，只能使用客戶的主密碼進行解密，LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年，LastPass遭受了撞庫攻擊，攻擊者可以確認用戶的主密碼。據透露，LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此，在您的 LastPass 帳戶上啟用多因素身份驗證至關重要，這樣即使您的密碼被洩露，駭客也無法存取您的帳戶。

美國網路安全暨基礎設施安全局（CISA）週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog）中。漏洞編號CVE-2022-0028（漏洞風險值8.6）是一種URL 過濾政策錯誤配置的高嚴重性漏洞，可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務（Reflected Amplification Denial-of-Service, RDoS）攻擊。針對攻擊者選擇的目標，DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列（虛擬）和 CN 系列（容器式）防火牆。

該供應商表示最近獲悉，多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊，但它沒有透露受影響公司的名稱，Palo Alto的資安通告提及，這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆，包括Palo Alto Networks在內，Palo Alto的資安通告稱，儘管漏洞被利用，但這個問題不會影響其產品的機密性、完整性或可用性。 然而，由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份，並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2（10.2.2-h2 以前的版本）

PAN-OS 10.1（10.1.6-h6 以前的版本）

PAN-OS 10.0（10.0.11-h1 以前的版本）

PAN-OS 9.1（9.1.14-h4 以前的版本）

PAN-OS 9.0（9.0.16-h3 以前的版本）

PAN-OS 8.1（8.1.23-h1 以前的版本）

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱，漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器，CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採，CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅，並下令美國聯邦民事行政部（FCEB）必須在 2022 年 9 月 12 日之前更新到最新版本。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本母公司SOMPO Holding同時發出聲明，強調攻擊僅限於台灣子公司，不影響集團的其他公司

8月23日，台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊，在發現攻擊後立即採取網路中斷措施，以防止損害擴大。目前，針對是否存有資料外洩，已委請外部機構進行調查及分析，並已通報政府機構與調查當局，STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質，是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上，看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似，但進一步強調稱攻擊僅限於台灣子公司，不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點，總公司於1888年成立，在全球32個國家地區擁有據點。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

8月2日，美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕，多家本地媒體報導，總統府官網遭受到境外DDoS（阻斷服務攻擊）攻擊，攻擊流量為平日的200倍，導致官網一度無法顯示，經緊急處置，20分鐘內恢復正常，總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外，政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓，一度無法連上。

外交部在聲明中指出，這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。

8月3日，上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出，統一超商回應，廠商受不明來源干擾播放訊息，已立即請廠商修復，門市營運正常。

此外，中國駭客還瞄準了台鐵電視螢幕，畫面上可見竟以簡體字寫著，「老巫婆竄訪台灣，是對祖國主權的嚴重挑戰；那些積極迎接的人，終將受到人民的審判；同種同族的血親關係割捨不段；偉大華夏終將統一」的惡意假訊息。

對此，台鐵表示，此為高雄新左營站售票大廳的電子看板，為資產開發中心出租廣告看板，出租出去後，3日上午10時突然被駭客入侵，同仁發現後，第一時間就先切掉線路，馬上斷電處理，並通知廠商做後續防護。

8 月 3 日同一天，疑為中國駭客APT 27，在Twitter上建立了一個名為APT27_Attack的帳號，高調地公開1支影片宣布對台灣發動特別網路行動，影片中蒙面男生以英文說：「全世界的公民你們好，我們是APT 27。最近我們注意到，裴洛西不顧中國和台灣同胞的反對造訪台灣，台灣自古以來都是中國的領地，為了反制挑釁，我們將對台灣發動一個特別網路行動，攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待，祝你們好運！」影片字幕為簡體字。

https://twitter.com/APT27_Attack/status/1554773005586157568

此外，該用戶聲稱已經入侵六萬臺物聯網(iOT)設備，並在另1個推文寫道：「我們不屬於政府，我們來自全球各國，至於有人把我們和惡名昭彰的APT 27比較，我們要說的是，我們是27 Attack，也可以叫我們27，我們已經完成任務了。」

8 月 4 日晚，高市環保局網站遭駭客入侵，首頁遭惡意植入中國五星旗，環保局表示先行關閉網站，將持續積極修復。

直到目前為止，環保局網站仍未修復完畢，網站顯示「本網站維護中暫停服務，造成不便，請見諒！」

8 月 5日，Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊，並發布台灣相關設備的零時差漏洞。

面對持續發生的駭客攻擊事件，組織應加強資安維運暨系統防護，持續監控，內、外網都應做好防範措施。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體，這些惡意軟體已被用於攻擊烏克蘭的網路，其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的，據信，自 2022 年 2 月俄羅斯入侵開始之前，網路活動就有所增加。

美國網路司令部指出，此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分，旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全，繼續在網路安全方面建立強有而力的伙伴關係。

美國網路司令部進一步解釋入侵指標的重要性，由於入侵指標是主機系統或網路被入侵的證據，能充當潛在漏洞的網路防禦者的數位取證，通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。

根據 Mandiant的說法，烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標，這些組織使用網路釣魚和誘餌，並在入侵中使用的惡意軟體支援多種操作，而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。

一個針對烏克蘭的駭客組織是 UNC1151，與白俄羅斯情報部門有關連，並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體，自 2 月 24 日俄烏戰爭爆發以來，UNC1151 一直積極針對烏克蘭。據觀察，該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589，研究人員認為，該組織是 1 月份部署了WhisperGate 惡意軟體，對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵，影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中，還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚，利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant（一種基於 Go 的後門，用於執行系統監視和命令執行）和 Graphsteel (一種開源的滲透工具，可以從目標系統中收集各種類型的資料。)

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

昨天，一個相對較新的勒索組織RansomHouse，聲稱入侵了 Advanced Micro Devices (AMD )並竊取了約 450GB 數據，該組織還發布了一個數據樣本作為證據。

根據Restore Privacy， RansomHouse發布的數據包括網路檔案、系統資料以及 AMD 的密碼。以下是 RansomHouse在其暗網網站上發布樣本的目錄:

目前AMD對這一說法的回應是，知道有一名不法分子聲稱擁有來自 AMD 的被盜數據，目前正在進行調查。

“簡單的密碼” 是數據外洩的原因?!

根據 RansomHouse 的說法，AMD使用簡單、好猜的密碼，例如“password”、“P@ssw0rd” 、“amd!23”和“Welcome1”等來保護其網路。有趣的是，根據 RansomHouse向 BleepingComputer透露，其合作夥伴大約在一年前入侵了 AMD 的網路，RansomHouse進一步說， Data Leaked的日期2022 年 1 月 5 日，實際上是他們無法存取AMD網路的日期。另外，資訊科技網站Tom’s Hardware報導，此次AMD數據外洩事件，可能與之前技嘉遭RansomExx入侵其供應商及合作夥伴的資料外洩事件有關，推測RansomExx 勒索軟體與RansomHouse有關聯。

目前RansomHouse沒有聯繫 AMD 索要贖金，因為該勒索組織認為直接將資料出售給其他實體或駭客，可比等待AMD做出回應更有價值。

RansomHouse於2021年12月開始運營，該組織聲稱加拿大薩斯喀徹溫省酒類與賭博管理局（SLGA）是其第一個受害者，其後也陸續出現如非洲最大的連鎖超市Shoprite等的受害者，但目前RansomHouse只有6名受害者，如下圖所示:

與其他傳統的勒索軟體組織相比，RansomHouse 實際上並未聲稱自己是“勒索軟體”組織，他們的攻擊並不包含加密受害者系統上的檔案，而只是入侵受害組織並竊取機密資料，並再向受害者勒索。RansomHouse在其暗網”關於”即About頁面上將自己描述為專業調解員。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”